Använda ytterligare kontext i Authenticator-meddelanden – Princip för autentiseringsmetoder
I den här artikeln beskrivs hur du kan förbättra säkerheten för användarinloggning genom att lägga till programnamnet och den geografiska platsen för inloggningen till Lösenordslösa authenticator- och push-meddelanden.
Förutsättningar
- Din organisation måste aktivera lösenordslösa autentiserings- och push-meddelanden för vissa användare eller grupper med hjälp av den nya principen för autentiseringsmetoder. Du kan redigera principen Autentiseringsmetoder med hjälp av administrationscentret för Microsoft Entra eller Microsoft Graph API.
- Ytterligare kontext kan endast riktas mot en enda grupp, som kan vara dynamisk eller kapslad. Gruppen kan synkroniseras från lokal eller endast molnbaserad.
Lösenordsfri telefoninloggning och multifaktorautentisering
När en användare får ett MFA-push-meddelande (lösenordslös telefoninloggning eller multifaktorautentisering) i Authenticator ser de namnet på programmet som begär godkännandet och platsen baserat på IP-adressen där inloggningen kom ifrån.
Administratörer kan kombinera ytterligare kontext med nummermatchning för att ytterligare förbättra inloggningssäkerheten.
Ändringar i principschema
Du kan aktivera och inaktivera programnamnet och den geografiska platsen separat. Under featureSettingskan du använda följande namnmappning för varje funktion:
-
Programnamn:
displayAppInformationRequiredState -
geografisk plats:
displayLocationInformationRequiredState
Kommentar
Kontrollera att du använder det nya principschemat för Microsoft Graph-API:er. I Graph Explorer måste du godkänna behörigheterna Policy.Read.All och Policy.ReadWrite.AuthenticationMethod.
Identifiera din enda målgrupp för var och en av funktionerna. Använd sedan följande API-slutpunkt för att ändra displayAppInformationRequiredState eller displayLocationInformationRequiredState properties under featureSettings för att enabled och inkludera eller exkludera de grupper du vill ha:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Mer information finns i resurstypen microsoftAuthenticatorAuthenticationMethodConfiguration.
Exempel på hur du aktiverar ytterligare kontext för alla användare
I featureSettingsändrar du displayAppInformationRequiredState och displayLocationInformationRequiredState från default till enabled.
Värdet för autentiseringsläget är antingen any eller push, beroende på om du också vill aktivera lösenordslös telefoninloggning eller inte. I de här exemplen använder vi any, men om du inte vill tillåta lösenordslös använder du push.
Du kan behöva PATCH hela schemat för att förhindra att någon tidigare konfiguration skrivs över. I så fall gör du en GET först. Sedan uppdaterar du endast relevanta fält och PATCH. I följande exempel visas hur du uppdaterar displayAppInformationRequiredState och displayLocationInformationRequiredState under featureSettings.
Endast användare som är aktiverade för Authenticator under includeTargets se programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Authenticator ser inte dessa funktioner.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exempel på hur du aktiverar programnamn och geografisk plats för separata grupper
I featureSettingsändrar du displayAppInformationRequiredState och displayLocationInformationRequiredState från default till enabled.
I includeTarget för varje featureSettingändrar du ID:t från all_users till objekt-ID för gruppen från Microsoft Entra-administrationscentret.
Du måste PATCH hela schemat för att förhindra att någon tidigare konfiguration skrivs över. Vi rekommenderar att du gör en GET först. Uppdatera sedan endast de relevanta fälten och sedan PATCH. I följande exempel visas en uppdatering av displayAppInformationRequiredState och displayLocationInformationRequiredState under featureSettings.
Endast användare som är aktiverade för Authenticator under includeTargets se programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Authenticator ser inte dessa funktioner.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Kontrollera genom att köra GET igen och verifiera objekt-ID:t:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Exempel på hur du inaktiverar programnamnet och endast aktiverar den geografiska platsen
I featureSettingsändrar du tillståndet för displayAppInformationRequiredState till default eller disabled och displayLocationInformationRequiredState till enabled.
I includeTarget för varje featureSetting värde ändrar du ID:t från all_users till objekt-ID för gruppen från administrationscentret för Microsoft Entra.
Du måste PATCH hela schemat för att förhindra att någon tidigare konfiguration skrivs över. Vi rekommenderar att du gör en GET först. Uppdatera sedan endast relevanta fält och PATCH. I följande exempel visas en uppdatering av displayAppInformationRequiredState och displayLocationInformationRequiredState under featureSettings.
Endast användare som är aktiverade för Authenticator under includeTargets se programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Authenticator ser inte dessa funktioner.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exempel på hur du exkluderar en grupp från programnamnet och den geografiska platsen
För var och en av funktionerna ändrar du dessutom ID:t för excludeTarget till objekt-ID för gruppen från administrationscentret för Microsoft Entra. Den här ändringen utesluter gruppen från att se programnamnet eller den geografiska platsen.
Du måste PATCH hela schemat för att förhindra att någon tidigare konfiguration skrivs över. Vi rekommenderar att du gör en GET först. Uppdatera sedan endast relevanta fält och PATCH. I följande exempel visas en uppdatering av displayAppInformationRequiredState och displayLocationInformationRequiredState under featureSettings.
Endast användare som är aktiverade för Authenticator under includeTargets se programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Authenticator ser inte dessa funktioner.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exempel på hur du tar bort den exkluderade gruppen
I featureSettingsändrar du tillstånden för displayAppInformationRequiredState från default till enabled. Ändra ID för excludeTarget till 00000000-0000-0000-0000-000000000000.
Du måste PATCH hela schemat för att förhindra att någon tidigare konfiguration skrivs över. Vi rekommenderar att du gör en GET först. Uppdatera sedan endast de relevanta fälten och PATCH. I följande exempel visas en uppdatering av displayAppInformationRequiredState och displayLocationInformationRequiredState under featureSettings.
Endast användare som är aktiverade för Authenticator under includeTargets se programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Authenticator ser inte dessa funktioner.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Inaktivera ytterligare kontext
Om du vill inaktivera ytterligare kontext måste du PATCHdisplayAppInformationRequiredState och displayLocationInformationRequiredState från enabled till disabled/default. Du kan också inaktivera endast en av funktionerna.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aktivera ytterligare kontext i administrationscentret för Microsoft Entra
Om du vill aktivera programnamnet eller den geografiska platsen i administrationscentret för Microsoft Entra följer du dessa steg:
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Skydd>autentiseringsmetoder>Microsoft Authenticator.
På fliken Grundläggande väljer du Ja och Alla användare för att aktivera principen för alla. Ändra autentiseringsläge till Alla.
Endast användare som är aktiverade för Authenticator här ingår i principen för att visa programnamnet eller den geografiska platsen för inloggningen eller exkluderas från den. Användare som inte är aktiverade för Authenticator kan inte se programnamnet eller den geografiska platsen.
På fliken Konfigurera, för Visa programnamn i push- och lösenordslösa meddelanden, ändra Status till Aktiverad. Välj vem som ska inkluderas eller exkluderas från principen och välj sedan Spara.
Gör sedan samma sak för Visa geografisk plats i push-meddelanden och lösenordslösa meddelanden.
Du kan konfigurera programnamnet och den geografiska platsen separat. Följande princip aktiverar till exempel programnamnet och den geografiska platsen för alla användare, men utesluter gruppen Åtgärder från att se den geografiska platsen.
Kända problem
Ytterligare kontext stöds inte för NPS (Network Policy Server) eller Active Directory Federation Services.
Användare kan ändra den plats som rapporteras av iOS- och Android-enheter. Därför uppdaterar Authenticator sin säkerhetsbaslinje för principer för Location-Based Access Control (LBAC) och villkorlig åtkomst. Authenticator nekar autentisering där användaren kanske använder en annan plats än den faktiska GPS-platsen för den mobila enhet där Authenticator är installerad.
I november 2023-versionen av Authenticator ser användare som ändrar platsen för sin enhet ett avslagsmeddelande i Authenticator när de utför en LBAC-autentisering. Från och med januari 2024 blockeras alla användare som kör äldre Authenticator-versioner från LBAC-autentisering med en ändrad plats:
- Authenticator version 6.2309.6329 eller tidigare på Android
- Authenticator version 6.7.16 eller tidigare på iOS
Om du vill ta reda på vilka användare som kör äldre versioner av Authenticator använder du Microsoft Graph-API:er.